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de transmission d'un message depuis le site serveur vers un ^qiiip^ent de communication detenu par I'utilisateur du site client via 
un second rdseau de conmiunication. Le message transmis est un message vocal destin^ k etre traits directement par ledit utilisatenr 
pour generer un mot de passe d*authentification pr^vu pour dtre transmis audit site serveur via Tun ou 1* autre des premier ou second 
r^seaux de communication. Avantag^: renforcement k moindre coilt du niveau de s^curisation des protocoles d*autfaentification 
notamment existants. 
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"Procede et systeme d'acces securise d un serveur informatique" 

La presente invention concerne un precede permettant 
d'augmenter le niveau de securisation du protocole d'authentification 
5 du demandeur d'acces a un serveur informatique. Elle concerne 
egalement un systeme d'acces securise mettant en ceuvre ce precede. 

Un demandeur d'acces ou client utilise en pratique un ordinateur 
individuel ou un poste de travail muni de moyens de connexion a un 
reseau de communication, par exemple le reseau Internet. 
10 Un serveur informatique est constitue d'un ordinateur muni de 

moyens de connexion au meme reseau. II sert a mettre en relation le 
client avec divers services tels que des bases de donnees. 

Une procedure d'acces a un serveur pour un client se deroule 
classiquement en trois phases : 
15 - I'acces au site serveur via Tetablissement d'une connexion (par 



client] n'est pas conforme aux informations stockees dans une base de 
donnees dite d'"authentification " geree par le serveur lui-meme ou par 
un serveur interm^diaire adapte. - — 

Les procedures connues presentent un certain nombre de 
25 faiblesses vis-a-vis de malveillances, telies que le vol des couples [code 
d'identification / mot de passe] via un logiciel de recherche 
automatique de mot de passe ou une complicity du c6t€ " serveur " 
permettant de connaTtre le contenu de la base de donnees 
d'authentification. 

30 Diverses solutions sont connues pour renforcer la securisation de 



20 



exemple TCP/IP), via un reseau generaiiste ou prive de 
transmission de donnees (par exemple internet) ; 

- I'entree d'une identification ; et 

- I'entree d'un mot de passe client. 

L'acces est refuse si le couple [identification / mot de passe 



I'acces : 
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- cote serveur un dispositif auxiiiaire permettant la generation de 
mots de passe aleatoires et/ou cryptes, mais necessitant la 
possession par le client d'un appareil synchronise avec le 
serveur, generant un mot de passe pseudo-aleatoire et de courte 

5 duree de vie en fonction de la date et de I'heure ; 

- ia dotation des ordinateurs individuels d'un peripherique lecteur 
d'une carte electronique {" carte a puce securisant i'acces 
selon un protocole similaire a celui utilise pour les cartes 
bancaires ; le client doit done disposer d'une telle carte et d'un 

1 0 peripherique special sur le terminal a partir duquel it se connecte 

au reseau ; 

- I'identification de la machine du client par un code 
d'identification tel que celui integre par le constructeur sur ses 
microprocesseurs ; Tacces est securise par identification du ou 

1 5 des composants connus du serveur ; I'inconvenient est qu'en 

dehors des machines dument r^pertoriSes, le client ne peut 
effectuer aucun acces. 

Par ailleurs, les systemes de cryptage connus, tels que 
Talgorithme RSA, necessitent des puissances de calcul importantes 
20 pour obtenir un bon niveau de securite. 

On connaTt par le document WO9731306 un precede pour 
fournir a un client des donn^es d'authentification au moyen de services 
de transmission de message SMS sur son telephone portable, via un 
reseau de t^lSphonie mobile. 
25 Le document US5668876 divulgue un precede pour authentifier 

un utiiisateur d'un site fournisseur de service electronique connecte sur 
un reseau de communication, cet utiiisateur detenant un telephone 
portable. Ce precede d'authentification comprend : 

- une etape de transmission d'un code de demande sur un second 
30 reseau de communication, par exempie un reseau de telephonie 
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mobile, ce code etant recu sur une unite personnelle de 
Tutiiisateur requerant, 

une etape de generation, au sein de I'unite personnelle de 
Tutilisateur, d'un code de reponse, fondee sur un algorithme 
5 ayant connme variables d'entree le code de dennande recu et une 

donnee entree par Tutilisateur, 

- une etape de generation, au sein de I'unite personnelle, d'un 
code de sortie comprenant le code de r^ponse, ce code de sortie 
etant alors soit transmis a partir de I'unite personnelle vers le 

10 centre d'authentification, soit entre sur un terminal de 

Tutilisateur relie au premier reseau de communication, 
une etape de comparaison au sein du centre d'authentification 
entre le code de rSponse recu et le code de reponse attendu, et 

- une etape pour permettre I'accds au service §lectrontque en cas 
15 de comparaison satisfaite. 

Les precedes de securisation ou d'authentification precites 
presentent I'inconvenient de n^cessiter une cooperation active d'un 
operateur de telephonie mobile et parfois une adaptation des 
equipements de communication mobile mis en oeuvre dans ces 
20 precedes. 

La presente invention a pour objet de proposer , une autre 
solution qui ne necessite pas 1' intervention active d'un operateur de 
t6l6phonie mobile et qui soit tr^s fiable, tres souple et peu coOteuse. 

Elle propose un proc6d§ d'acces s^curis^ a un serveur 
25 informatique depuis un site client via au molns un premier reseau de 
communication, ce serveur comprenant des moyens pour g^rer un 
protocole d'authentification d'un utilisateur du site client, comprenant 
une sequence de reception et le traitement de donnees d'identification 
d'un utilisateur du site client, et une sequence de transmission d'un 
30 message depuis le site serveur vers un equipement de communication 
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detenu par i'utilisateur du site client via un second reseau de 
communication. 

Suivant Tinvention, ce message transmis est un message vocal 
destine a etre traite directement par ledit utiiisateur pour generer un 
5 mot de passe d'authentification prevu pour etre transmis audit site 
serveur via Tun ou Tautre desdits premiers ou second reseaux de 
communication, 

L'idee a la base de la presente invention est done de faire 
intervenir dans le protocole d'authentification un telephone mobile dans 

10 sa fonction de transmission vocale et non de transmission 
d'informatlons numeriques ou de messages courts, le site serveur etant 
muni de moyens lui permettant d'appeler le telephone mobile et de lui 
transmettre un message vocal. 

Le premier reseau de communication peut etre le reseau Internet 

15 et plus generalement tout reseau de communication filaire ou non 
fiiaire, par exemple un reseau de communication mobile. 

Le second reseau de communication mis en oeuvre dans le 
proced^ de securisation selon Tinvention est de pr^f^rence un reseau 
de communication mobile, mais pourrait etre un reseau de 

20 communication fixe capable de communiquer avec des equipements de 
communication mobile. 

Le precede selon invention n'exige du cote du site client aucun 
dispositif informatique special d'identification, int^gre ou peripherlque. 
II requiert la possession d'un telephone mobile ordinaire, apparel! qui 

25 tend a se generaliser parmi ies professionneis et les particuliers. Le 
cout d'equipement c6t6 serveur reste 6galement modeste puisque 
notamment un modem standard du type comportant une unit§ de 
synthese vocale peut etre utilise pour realiser la connexion avec le 
reseau de tel^phonie mobile. 

30 Un autre avantage selon Tinvention reside dans le fait que ni le 

poste serveur, ni le poste client ne necessltent de puissances de calcul 
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importantes comparees aux systemes de cryptage de I'etat de la 
technique, d'ou une forte reduction des couts pour un systeme selon 
rinvention. On peut egalement prevoir une reduction des couts de 
deploiement et surtout une absence de surcout lors d'un changennent 
5 des procedures par rapports aux solutions de s^curisation a base de 
materiel, 

II est a noter que la securisation apport^e par le systenne selon 
rinvention est renforcee par la procedure d'identification du telephone 
mobile lui-meme par son reseau d'abonnement. Cette procedure met 
10 en oeuvre dans le cas de la norme GSM un composant electronique 
specifique (carte SIM) branche sur Tappareii, et la possibilite pour le 
client d'avoir un mot de passe modifiable (code PIN) qui doit etre saisi 
lors de la mise en marche du telephone. 

En cas de vol du telephone mobile ou du composant SIM, celui- 
15 ci peut instantanement Stre mis hors service pour I'ensemble des 
r^seaux GSM sur un simple appel au fournisseur d'abonnement du 
telephone mobile. On pourra prevoir egalement que suivant une 
declaration de vol, I'acc&s au reseau sera automatiquement ferme. 

Le precede selon rinvention permet de reutiliser les procedures 
20 existantes en ajoutant un niveau de securite. II peut s'appliquer en 
complement de n'importe quel logiciel d'acces. 

Ainsi, la donnee d'identification demandee au client peut etre le 
couple [code d'identification / rtibt de passe client! (I D7M PC) du 
protocole d'authentification connu de I'etat de la technique, de sorte 
25 que la connaissance directe ou indirecte de ce couple ne sera plus 
suffisante en soi pour obtenir I'accds au serveur. 

Dans une premiere variante de realisation, le precede selon 
rinvention comprend les etapes consistent a : 

- demander au site client des donnees d'identification via le premier 
30 reseau de communication ; 
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- traiter lesdites donnees et rechercher dans une base de donnees 
d'authentification un numero d'appel d'un equipement de 
communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
5 second reseau de communication ; 

- apres etablissement d'une communication avec ledit equipement de 
communication mobile, generer un mot de passe aleatoire ou pseudo- 
aieatoire; 

- emettre un message vocal comprenant ledit mot de passe aleatoire 
10 via le second reseau de communication; 

- demander a I'utilisateur de fournir, a partir du site client via le premier 
reseau de communication, un mot de passe d'authentification derive 
dudit mot de passe aleatoire ou pseudo-aleatoire ; et 

- authentifier ledit mot de passe d'authentification. 

15 Le mot de passe d'authentification peut par exemple 

correspondre au mot de passe aleatoire ou pseudo-al^atoire gendr^ par 
le serveur et communique via I'equipement de communication mobile. 

Mais on peut aussi prevoir que le mot de passe 
d'authentification sera constitue par le mot de passe aleatoire ou 

20 pseudo-aleatoire genere par le serveur et communique via I'equipement 
de communication mobile, auquel est appiiquee une cle connue du 
client utillsateur et comprise dans la base de donnSe d'authentification 
du serveur, i'etape d'authentification comportant une ^tape de 
conversion dudit mot de passe d'authentification en mot de passe 

25 aleatoire ou pseudo-aleatoire par application de ladite cl^. 

La cle peut etre une constante connue et personnelie par 
exemple ajoutee ou retranchee pour obtenir le mot de passe serveur. II 
peut s'agir aussi d'une operation de logique, comme une permutation. 
Les donnees d'identification demandies au client peuvent 

30 consister en un couple [code d'identification / mot de passe client]. 
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L'etape qui consiste a demander au client le mot de passe 
d'authentification se deroule de preference pendant une duree 
predeterminee au dela de laquelle Tauthentification est refusee. 

Dans une autre variante de realisation du precede selon 
5 {'invention, ce precede comprend les etapes c6te site serveur 
consistant a : 

- demander au site client des donnees d'identification via le premier 
reseau de communication; 

- traiter lesdites donnees et rechercher dans une base de donnees 
10 d'authentification un numero d'appel d'un equipement de 

communication mobile detenu par Tutilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
second reseau de communication ; 

- en cas d'obtention de la communication avec ledit equipement de 
1 5 communication mobile, emettre un message vocal requerant I'envoi par 

Tutilisateur d'une cle de cryptage ; 

- recevoir et reconnaitre ia cle de cryptage transmise par le client via 
des touches de I'equipement de communication mobile; 

- decrypter a Taide de ladite cle de cryptage un mot de passe 
20 d'authentification transmis par le client via le premier reseau de 

communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 
de la cl^ de cryptage ; et 

- authentifier le mot de passe client resultant du decryptage du mot de 
25 passe d'authentification. 

On peut egalement prevoir de remonter via le second reseau de 
communication mobile des informations d'acces resultant du message 
vocal transmis par le serveur via ce second reseau et le r^aliser de 
nombreuses fagons. On peut par exemple prevoir le processus 
30 suivant : 
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Un message vocal emis par le serveur est recu via le second 
reseau de communication par un client utilisateur sur son telephone 
portable, en reponse a une requete transmise au serveur via !e premier 
reseau de communication a partir d'un terminal connecte a ce reseau. 
5 Ce message vocal indique par exemple un element d'information a 
traiter sur le terminal. 

Le client utilisateur effectue alors un traitement predetermine 
(par exemple, une translation ou toute autre modification simple ou 
complexe) a Telement d'information indique et le frappe ensuite sur le 

10 clavier de son telephone portable. 

Ce mode specifique de mise en oeuvre du precede de 
securisation selon Tinvention est particulierement adapte aux 
terminaux disposants de moyens de saisie rudimentaires tels que les 
terminaux de paiement electronique. 

1 5 Suivant un autre aspect de Tinvention, il est propose un systeme 

de securisation d'accds a un serveur informatique depuis un site client 
via au moins un premier reseau de communication, mettant en oeuvre 
le procede selon I'invention, ce systeme comprenant sur le site serveur 
des moyens pour gerer un protocole d'authentification d'un utilisateur 

20 du site client, des moyens pour recevoir et traiter des donnees 
d'identification d'un utilisateur du site client, et des moyens pour 
generer et pour transmettre un message depuis le site serveur vers un 
equipement de communication detenu par Tutilisateur du site client via 
un second reseau de communication, caracterise en ce que ce systeme 

25 est agence pour transmettre via le second reseau de communication un 
message vocal destine a etre traits directement par ledit utilisateur 
pour generer un mot de passe d'authentification prevu pour etre 
transmis audit site serveur via ledit premier reseau de communication. 
Ce systeme peut en outre avantageusement comprendre, dans 

30 une premiere variante de realisation : 
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- des moyens pour rechercher, en reponse a une reception de donnees 
d'identification en provenance d'un site client requerant un acces, dans 
une base de donnees d'authentification un numero d'appel d'un 
equipement de connmunication mobile detenu par I'utilisateur du site 

5 client ; 

- des moyens pour appeler ledit equipement de communication mobile 
via au moins un second reseau de communication ; 

- des moyens pour generer un mot de passe aleatoire ou pseudo- 
aieatoire, et 

10 - des moyens pour authentifier un mot de passe d'authentification en 
provenance du site client via le premier reseau de communication, 
caracterise en ce qu'il comprend en outre : 

- des moyens pour emettre un message vocal comprenant ledit mot de 
passe aleatoire via le second riseau de communication, et 

15 - des moyens pour requerir de rutilisateur dudit site client une 
fourniture, via le premier reseau de communication, d'un mot de passe 
d'authentification derive dudit mot de passe aleatoire ou pseudo- 
aieatoire. 

Dans une seconde variante de realisation, le systeme seion 
20 rinvention peut avantageusement comprendre : 

- des moyens pour demander au site client des donnees d'identification 
via le premier reseau de communication; 

- des moyens pour traiter lesdites donnees et rechercher dans une base 
de donnees d'authentification un numero d'appel d'un equipement de 

25 communication mobile detenu par I'utilisateur du site client ; 

- des moyens pour appeler ledit equipement de communication mobile 
via au moins un second reseau de communication ; 

- des moyens pour emettre un message vocal requerant renvoi par 
rutilisateur d'une cie de cryptage ; 
30 - des moyens pour recevoir et reconnaitre la cl^ de cryptage transmise 
par le client via des touches de I'equipement de communication mobile; 
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- des moyens pour decrypter a I'aide de ladite cle de cryptage un mot 
de passe d'authentification transmis par le client via le premier reseau 
de communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 

5 de la cle de cryptage ; et 

- des moyens pour authentifier le mot de passe client resultant du 
decryptage du mot de passe d'authentification. 

On pourra egalement renforcer la s6curisation du procede salon 
rinvention, en prevoyant la desactivation automatique de I'acces au 

10 serveur des qu'un nombre predetermine de tentatives a echoue a I'une 
queiconque des etapes de saisie, et la possibilite de demander la 
desactivation immediate du telephone aupres du fournisseur de 
telephonie mobile. 

Suivant encore un autre aspect de Tinvention, il est propose une 

15 application du precede de securisation selon I'invention dans un 
syst6me d'authentification d'oeuvres numeriques comportant des sites 
tierces parties de datation, d'authentification et d'archivage connectes 
a un premier reseau de communication, caract^risee en ce que chaque 
site tierce partie comprend localement des moyens logiciels prevus (i) 

20 pour transmettre sous forme vocale a un site client sollicitant une 
operation d'authentification des donnees de securisation via un 
equipement de communication mobile associe audit site client et 
connecte a un second rSseau de communication, et (ii) pour recevoir 
dudit site client via le premier reseau de communication un mot de 

25 passe d'authentification resultant desdites donnees de securisation. 

La presente invention sera mieux comprise et d'autres avantages 
apparaitront a la lumiere de la description qui va suivre de deux 
exemples de realisation du systeme et des procedes associes selon 
{'invention, description faite en reference aux dessins annexes sur 

30 lesquels : 
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- la figure 1 est un schema synoptique du premier exemple de 
realisation du systeme selon Tinvention ; 

- la figure 2 est un organigramme du precede d'authentification 
execute par le serveur mettant en oeuvre le systeme de la figure 1 ; 

5 - la figure 3 montre schematiquement une page ecran generee 

par le serveur et utilisee par ie client pour la transaction 
d'authentification du precede de la figure 2 ; 

- la figure 4 est un schema synoptique du second exemple de 
realisation du systeme selon Tinvention ; 

10 - la figure 5 est un organigramme du precede d'authentification 

execute par le serveur mettant en oeuvre le systeme de la figure 4 ; 

- la figure 6 montre schematiquement une page ecran generee 
par le serveur et utilisee par le client pour la transaction 
d'authentification du precede de la figure 5 ; et 

15 - la figure 7 est un schema synoptique iiiustrant une application 

du precede de sScurisation selon Tinvention pour la protection juridique. 
d'oeuvres numeriques. 

Comme illustre schematiquement § la figure 1, un premier 
exemple de realisation du syst§me selon Tinvention comprend : 

20 - sur un site client 1, un ordinateur individual 2 equipe d'un 

modem 3 pour acceder a un reseau de transmission de donnees 4 et 
un telephone mobile 5 personnel, abonne a un reseau de tel^phonie 
mobile 6, par exemple au standard GSM ;-et 

- sur un site serveur 7, un serveur constitue d'un ordinateur 8 
25 sur lequel est charge un logiciel adapte k gerer le precede d'acc6s du 

client aux services 9 du serveur selon Tinvention, notamment le 
protocole d'authentification du client ; I'ordinateur est equipe d'un 
modem 10 lui permettant d'etablir une liaison avec le reseau de 
telephonie mobile 6 et d'appeler un numero de telephone, de moyens 
30 11 de generation d'un mot de passe aleatoire ou pseudo-aleatoire 
MPA, et d'un circuit de synthase vocale 12 lui permettant de 
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communiquer au telephone mobile 5 un message comprenant le mot de 
passe MPA g6ner6 aleatoirement necessaire au protocole 
d'authentification. L'ordinateur 8 est relie a une base de donnees 
d'authentification BDA comprenant pour cheque client repertorie un 
5 triplet [code d'identification ID / mot de passe client MPC/numero de 
telephone mobile personnel associej. 

Le precede d'acces securise se deroule de la maniere suivante. 
Le client sur le site client 1 demande Tacces au serveur. La 
liaison entre le site client 1 et le site serveur 7 via le reseau de 

10 transmission de donnees 4 se fait de maniere classique et connue en 
soi par I'intermediaire du modem 3 du site client 1, du reseau 
telephonique commute, d'un fournisseur d'acces au reseau generaliste 
Internet et d' Internet. 

En retour, le serveur affiche sur Tordinateur individuel 2 une 

1 5 page ecran 1 5, representee sur la figure 3, comprenant trois champs 
de saisie : les deux premiers champs 1 6 et 1 7 correspondent au couple 
classique [code d'identification ID et mot de passe client MFC], le 
troisieme champ 18 correspond a un mot de passe d'authentification 
MPAUT qui est derive du mot de passe aieatoire ou pseudo-al§atoire 

20 MPA qui sera communique par le serveur au site client 1 via le 
telephone mobile 5. Ce mot de passe d'authentification MPAUT 
correspond ici au mot de passe aieatoire ou pseudo-aleatoire MPA 
genere par le serveur. 

Dans un premier temps, le client saisit son couple [code 

25 d'identiflcation-mot de passe client] (ID/MPC) qui est dejd sicurise par 
n'importe quel processus connu ci partir de la base de donnees 
d'authentification BDA. 

En se referant a Torganigramme de la figure 2, les etapes 
suivantes du protocole, specifiques a la presente invention, ne seront 

30 executees par le serveur qu'a la condition prealable que Tetape de 
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controle identification / mot de passe client a I'^tape 20 soit couronnee 
de succes. 

Si tel est le cas, I'etape suivante 21 consiste a composer le 
numero du telephone mobile identifie grace a la base de donnees 
5 d'autlientification BDA a Taide du modem 10. A I'etape suivante 22, si 
la communication telephonique avec le telephone mobile est obtenue 
(par exemple par I'indication du " decrochage " par le modem 10 du 
site serveur), le serveur genere un mot de passe aleatoire MPA et emet 
grSce a son circuit de synthese vocale ce mot de passe MPA genere 

10 vers le telephone mobile 5. L'etape suivante 23 correspond a une 
etape d'attente de la saisie du mot de passe d'authentification MPAUT 
par le client au niveau du site client pendant une duree limitee 
predeterminee (etape 24). Si a I'etape 25, le mot de passe MPAUT 
saisi est conforme, I'authentification est confirmee et le client peut 

1 5 acceder aux services 9 du serveur. 

L'Schec de I'authentification intervient done dans les 
circonstances sutvantes : 

- echec de I'authentification classique du couple [ID /MPC] ; 

- non-obtention de la communication avec le telephone mobile ; 
20 ' mauvaise ou absence d'entree du second mot de passe 

MPAUT dans le delai predetermine. 

Des variantes de realisation sont possibles, notamment 
concernant le mot de passe serveur derive du mot de passe aleatoire 
MPA qui peut etre constitu^ dudit mot de passe aleatoire MPA auquel 

25 est ajoutee une cle arithmetique ou logique personnelle au client et 
comprise dans la base de donnees d'authentification BDA dans un 
champ supplementaire a ceux dija prevus pour le code d'identification 
ID, le mot de passe client MPC et le numero de telephone mobile. Le 
serveur sera 6quip§ de moyens lui permettant de recalculer le mot de 

30 passe genere MPA pour proc^der a I'etape d'authentification. 
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Les figures 4 a 6 concernent un autre mode de realisation du 
systeme selon Tinvention se differenciant par le fait que le site client 1 
est equipe en outre de moyens de cryptage 30 qui sent adaptes a 
crypter le mot de passe client MPC une fois cefui-ci saisi par le client 
5 avant de Tenvoyer via le reseau 4 de transmission de donnees au site 
serveur 7. Du cote du site serveur, celui se diff^rencie par des moyens 
de reconnaissance 31 d'un signal envoye par le client via les touches 
de son telephone mobile personnel 5 et des moyens de decryptage 32 
adaptes a decrypter le mot de passe client MPC selon une cle de 

10 cryptage qui est transmise par le client via les touches de son 
telephone mobile. La base de donnees d'authentification BDA ne 
comporte ici que deux champs contenant Tun le code ID et Tautre le 
mot de passe client MPC. Le protocole d'authentification apres 
decryptage correspond au protocole connu dans Tart anterieur. 

15 Le precede d'acces s^curise utilisant ce systdme se deroule de la 

mani^re suivante. 

En reponse k une demande d'acces de la part du client utilisant 
le site client 1 , le serveur affiche sur Tordinateur individual 2 une page 
ecran 35 representee a la figure 6, ne comprenant par rapport au 

20 premier mode de realisation que deux champs de saisie 36 et 37 qui 
correspondent au couple classique [code d'identification ID et mot de 
passe client MFC]. Immediatement apres la saisie du mot de passe 
client MPC, les moyens 30 cryptent le mot de passe client saisi selon 
une cl^ de cryptage connue seulement du client. Ce mot de passe 

25 client crypte correspond au mot de passe dit d'authentification du 
precede selon Tinvention. 

En se referent h I'organigramme de la figure 5, les etapes du 
protocole d'authentification se deroulent de la maniere suivante. 

Dans un premier temps, S I'etape 40, le serveur, ayant recu le 

30 mot de passe client crypte et le code ID, identifie le client a Taide du 
code d'identification ID, puis a T^tape 41, il recherche dans la base de 
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donnees d'authentification BDA, le numero de telephone mobile. 
L'6tape 42 suivante consiste a composer ie numero du telephone 
) mobile a I'aide du modem 10. Si a I'etape suivante 43 la 

communication avec le telephone mobile est obtenue, le serveur emet 
5 grace a son circuit de synthese vocale 1 2 un message (etape 45) 
signalant qu'il attend de la part du client la cle de cryptage via les 
touches du telephone mobile. L'etape 46 correspond a une etape 
d'attente de la saisie de cette cle pendant une duree limitee 
predeterminee. L'etape suivante 47 consiste k authentifier le mot de 

10 passe MPAUT recu via le reseau 4 par le decryptage de ce mot de 
passe avec la c\€ et Tauthentification du mot de passe client obtenu, 
conformement au protocole d'authentification. Si le mot de passe 
client MPC est conforme (etape 48), Tauthentification est confirmee et 
le client peut acceder aux services 9 offert par le serveur. 

15 L'echec de Tauthentification interviendra done dans les 

circonstances suivantes : 

- non-obtention de la communication avec le telephone mobile ; et 

- mauvaise ou absence d'entree du mot de passe client MPC et de la 
cl6 de cryptage. 

20 Le precede de securisation selon Tinvention peut trouver une 

application particulierement interessante lorsqu'il est mis en oeuvre 
dans le cadre d'un systeme de protection juridique et d'authentification 
d'ceuvres numeriques represent^ sch^matiquement en figure 7. Ce 
systeme, construit autour d' Internet et du web, comprend un premier 

25 site Sl 'procurant une fonction de tierce partie de datation, un second 
site S2 procurant une fonction de tierce partie d'authentification, et un 
troisi^me site S3 procurant une fonction de tierce partie d'archivage. II 
peut en outre comporter, sans que cela soit pour autant indispensable, 
un site SP foumisseur de services d'authentification procurant une 

30 fonction de portail et d'aiguillage vers les differentes sites precit^s. 
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Chacune des sites tierces parties est equipe d'un logiciel 
implementant le precede de securisation selon I'invention. Lorsqu'un 
client auteur ou detenteur d'une oeuvre numerique sollicite chacun des 
sites tierces parties SI, S2, S3, soit directement sort via ie site portail 
5 fournisseur de services SP, le precede de securisation selon I'invention 
est execute avec fourniture a ce client via un reseau d'un operateur de 
teliphonie mobile d'un mot de passe MPA1, MPA2, MPA3, puis 
emission par le client via Internet d'un mot de passe d'authentification 
MPAUl, MPAU2, MPAU3 destine au site tierce partie sollicite. On peut 

10 bien sur prevoir que Tautorite judiciaire puisse directement acceder en 
cas de besoin aux informations et donnees stockees dans les 
differentes sites tierces parties pour le compte des clients utilisateurs 
de ce systeme d'authentification mettant en oeuvre le proced^ de 
securisation selon I'invention. 

15 Bien sur, I'invention n'est pas limitee aux exemples qui viennent 

d'itre decrits et de nombreux amenagements peuvent etre apportes a 
ces exemples sans sortir du cadre de I'invention. En particulier, le 
precede de securisation selon I'invention peut aussi concerner les 
equipements mobiles d'acces a Internet utiiisant la technologie WAP 

20 (Wired Access protocole). On pourra aussi prevoir que sur un meme 
equipement mobile soient accessibles un premier reseau de 
communication mobile WAP procurant un acc^s a Internet et un second 
reseau de communication mobile procurant le vecteur de transmission 
des mots de passe transmis par un site mettant en oeuvre le precede de 

25 securisation selon I'invention. 
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Revendications 

5 1 . Precede de securisation d'acces ^ un serveur informatique depuis un 
site client via au moins un premier reseau de comnnunication, ce 
serveur comprenant des moyens pour g^rer un protocole 
d'authentification d'un utilisateur du site client, comprenant une 
sequence de reception et le traitement de donnees d'identification d'un 

10 utilisateur du site client, et une sequence de transmission d'un 
message depuis le site serveur vers un equipement de communication 
detenu par I'utilisateur du site client via un second reseau de 
communication, caracterise en ce que ce message transmis est un 
message vocal destine ^ dtre traite directement par ledit utilisateur 

15 pour generer un mot de passe d'authentification pr§vu pour etre 
transmis audit site serveur via Tun ou I'autre desdits premier ou second 
reseaux de communication. 

2. Precede de securisation selon la revendication 1, caracterise en 
20 ce qu'il comprend les etapes consistent a : 

- demander au site client des donnees d'identification {ID,MPC) via le 
premier reseau de communication (4) ; 

- traiter lesdfttss donnees (ID,MPC) et rechercher dans One base de 
donnees d'authentification (BDA) un numero d'appel d'un Equipement 

25 de communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
second reseau de communication ; 

- apres 6tablissement d'une communication avec ledit equipement de 
communication mobile, generer un mot de passe al^atoire ou pseudo- 

30 al^atoire (MPA) ; 
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- emettre un message vocal comprenant ledit mot de passe aleatoire 
(MPA) via le second reseau de communication (6) ; 

- demander a Tutilisateur de foumir, a partir du site client via le premier 
reseau de communication (4), un mot de passe d'authentification 

5 (MPAUT) derive dudit mot de passe aleatoire ou pseudo-aleatoire 
(MPA) ; et 

- authentifter ledit mot de passe d'authentification (MPAUT). 

3. Procede selon la revendication 2, caracterise en ce que le mot de 
10 passe d'authentification (MPAUT) correspond au mot de passe 

aleatoire ou pseudo-aleatoire (MPA) genere par le serveur et 
communique via I'equipement de communication mobile. 

4. Procede selon la revendication 2, caracterise en ce que le mot de 
15 passe d'authentification (MPAUT) est constitu^ par le mot de passe 

aleatoire ou pseudo-aleatoire (MPA) g^n^re par le serveur et 
communique via I'equipement de communication mobile, auquel est 
appliquee une cle connue du client utilisateur et comprise dans la base 
de donnee d'authentification du serveur (BDA), I'etape 
20 d'authentification comportant une etape de conversion dudit mot de 
passe d'authentification en mot de passe aleatoire ou pseudo-aleatoire 
(MPA) par application de ladite cl^. 

5. Procede selon Tune des revendications precedentes, caracterise 
25 en ce que les donn^es d'identification demandees au client consistent 

en un couple [code d'identification / mot de passe client] (ID/MPC). 

6. ProcSd^ selon Tune des revendications precedentes, caracterise 
en ce que I'etape qui consiste a demander au client le mot de passe 

30 d'authentification (MPAUT) se deroule pendant une duree 
predeterminee au 6e\h de laquelle Tauthentification est refusee. 
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7. Procede de secunsation selon la revendication 1 , caracterise en ce 
qu'il comprend les etapes cote site serveur consistant a : 

- demander au site client des donnees d'identification (ID,MPC) via le 
5 premier reseau de communication (4) ; 

- trailer lesdites donnees {ID, MFC) et rechercher dans une base de 
donnees d'authentification (BDA) un numero d'appel d'un equipement 
de communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
1 0 second reseau de communication ; 

- en cas d'obtention de la communication avec ledit equipement de 
communication mobile, emettre un message vocal requerant {'envoi par 
I'utilisateur d'une cle de cryptage ; 

- recevoir et reconnaTtre la cle de cryptage transmise par le client via 
1 5 des touches de Tequipement de communication mobile; 

- decrypter ^ Taide de ladite cle de cryptage un mot de passe 
d'authentification (MPAUT) transmis par le client via le premier reseau 
de communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 

20 de la cle de cryptage ; et 

- authentifier le mot de passe client (MPC) resultant du d^cryptage du 
mot de passe d'authentification. 

8. Procede selon la revendication 7, caractSris^ en ce que Tetape 
25 de reception de la cie de cryptage se derouie pendant une dur6e 

pred^terminee au dela de laquelle Tauthentification est refus^e. 

9. Systeme de securisation d'acces a un serveur informatique depuis 
un site client via au moins un premier reseau de communication, 

30 mettant en ceuvre le procede selon Tune quelconque des 
revendications precSdentes, ce syst§me comprenant sur ie site serveur 
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des moyens pour gerer un protocole d'authentification d'un utilisateur 
du site client, des moyens pour recevoir et traiter des donnees 
d'identification d'un utilisateur du site client, et des moyens pour 
generer et pour transmettre un message depuis ie site serveur vers un 
5 equipement de communication detenu par I'utilisateur du site client via 
un second reseau de communication, caracterise en ce que ce systeme 
est agence pour transmettre via Ie second reseau de communication un 
message vocal destine ^ etre traite directement par ledit utilisateur 
pour generer un mot de passe d'authentification prevu pour etre 
10 transmis audit site serveur via ledit premier reseau de communication. 

10. Systeme de securisation seion la revendication 9, comprenant en 
outre : 

- des moyens pour rechercher, en r^ponse d une reception de donnees 
15 d'identification en provenance d'un site client requerant un acces, dans 

une base de donnees d'authentification (BDA) un numero d'appel d'un 
equipement de communication mobile detenu par I'utilisateur du site 
client ; 

- des moyens pour appeler ledit equipement de communication mobile 
20 via au moins un second reseau de communication ; 

- des moyens pour generer un mot de passe al6atoire ou pseudo- 
aleatoire (MPA), et 

- des moyens pour authentifier un mot de passe d'authentification en 
provenance du site client via Ie premier reseau de communication, 

25 caract6ris§ en ce qu'il comprend en outre : 

- des moyens pour emettre un message vocal comprenant ledit mot de 
passe aleatoire (MPA) via Ie second reseau de communication (6), et 

- des moyens pour requerir de I'utiiisateur dudit site client une 
fourniture, via Ie premier reseau de communication (4), d'un mot de 

30 passe d'authentification (MPAUT) derive dudit mot de passe aleatoire 
ou pseudo-al6atoire (MPA). 
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1 1 . Systeme de securisation selon la revendication 9, comprenant : 

- des moyens pour demander au site client des donnees d'identification 
(ID, MFC) via le premier reseau de communication (4) ; 

5 - des moyens pour trailer lesdites donnees (ID, MFC) et rechercher dans 
une base de donnees d'authentification (BDA) un numero d'appef d'un 
equipement de communication mobile detenu par i'utilisateur du site 
client ; 

- des moyens pour appeler ledit equipement de communication mobile 
10 via au moins un second reseau de communication ; 

- des moyens pour emettre un message vocal requerant renvoi par 
I'utilisateur d'une cle de cryptage ; 

- des moyens pour recevoir et reconnattre la cl^ de cryptage transmise 
par le client via des touches de Tequipement de communication mobile; 

15 - des moyens pour decrypter a I'aide de ladite c\6 de cryptage un mot 
de passe d'authentification (MFAUT) transmis par le client via le 
premier reseau de communication, ce mot de passe d'authentification 
resultant d'un cryptage d'un mot de passe client realise sur le site 
client au moyen de la cle de cryptage ; et 

20 - des moyens pour authentifier le mot de passe client (MFC) resultant 
du decryptage du mot de passe d'authentification. 

12. Application du procSd6 de securisation selon Tune queiconque des 
revendications 1 a 8 dans un systeme d'authentification d'ceuvres 

25 numeriques comportant des sites tierces parties de datatlon, 
d'authentification et d'archivage connecte S un premier reseau de 
communication, caracteris6e en ce que chaque site tierce partie 
comprend localement des moyens iogiciels pr6vus (i) pour transmettre 
sous forme vocale h un site client sollicttant une operation 

30 d'authentification des donnees de securisation via un Equipement de 
communication mobile associ§ audit site client et connect^ k un 
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second reseau de communication, et (11) pour recevoir dudit site client 
via le premier reseau de communication un mot de passe 
d'authentificatlon resultant desdites donnees de securisation. 
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